第3章 Core Server 設定リファレンス
本章では、すべてのコア (サーバー関連) 属性のアルファベットの参照を提供します。「Directory Server 設定の概要」 Red Hat Directory Server 設定ファイルに関する適切な概要が含まれています。
3.1. コアサーバー設定の属性リファレンス
このセクションには、コアサーバーの機能に関連する設定属性の参照情報が記載されています。サーバー設定の変更に関する詳細は、「サーバー設定へのアクセスおよび変更」 を参照してください。プラグインとして実装されるサーバー機能のリストは、「サーバープラグインの機能リファレンス」 を参照してください。カスタムサーバー機能の実装に関するヘルプは、Directory Server サポートにお問い合わせください。
以下の図のように、dse.ldif
ファイルに保存された設定情報は、一般的な設定エントリー cn=config
配下にある情報ツリーとして編成されます。
図3.1 設定データを示すディレクトリー情報ツリー
この設定ツリーのノードのほとんどは、以下のセクションで説明されています。
cn=plugins
ノードは 4章プラグイン実装サーバー機能リファレンス で説明されています。各属性の説明には、ディレクトリーエントリーの DN、デフォルト値、値の有効な範囲、その使用方法などが含まれます。
本章で説明するエントリーおよび属性の一部は、製品の今後のリリースで変更される可能性があります。
3.1.1. cn=config
一般的な設定エントリーは cn=config
エントリーに保存されます。cn=config
エントリーは、nsslapdConfig
オブジェクトクラスのインスタンスで、extensibleObject
オブジェクトクラスを継承します。
3.1.1.1. nsslapd-accesslog(アクセスログ)
この属性は、各 LDAP アクセスを記録するために使用されるログのパスおよびファイル名を指定します。ログファイルには、デフォルトで以下の情報を記録します。
- データベースにアクセスするクライアントマシンの IP アドレス (IPv4 または IPv6)。
- 実行される操作 (検索、追加、変更など)。
- アクセス権の結果 (返されるエントリーの数やエラーコードなど)。
アクセスログをオフにする方法は、Red Hat Directory Server 管理ガイドのサーバーおよびデータベースアクティビティーの監視の章を参照してください。
アクセスロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-accesslog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空の文字列 | 無効 |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | 有効 |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空の文字列 | 無効 |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | 無効 |
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名。 |
デフォルト値 | /var/log/dirsrv/slapd-instance/access |
構文 | DirectoryString |
例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
3.1.1.2. nsslapd-accesslog-level(アクセスログレベル)
この属性は、アクセスログにログ記録する内容を制御します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | * 0 - アクセスロギングなし * 4 - 内部アクセス操作のロギング * 256 - 接続、操作、および結果の記録 * 512 - エントリーおよび参照情報にアクセスするためのロギング
* これらの値を一緒に追加して、必要なロギングタイプを提供します。たとえば、 |
デフォルト値 | 256 |
構文 | 整数 |
例 | nsslapd-accesslog-level: 256 |
3.1.1.3. nsslapd-accesslog-list(アクセスログファイルの List)
設定できないこの読み取り専用属性は、アクセスログのローテーションで使用されるアクセスログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
3.1.1.4. nsslapd-accesslog-logbuffering(Log Buffering)
off
に設定すると、サーバーはすべてのアクセスログエントリーを直接ディスクに書き込みます。バッファーを使用すると、パフォーマンスに影響を与えずに負荷が大きい場合でもサーバーがアクセスロギングを使用できます。ただし、デバッグ時には、操作と、ログエントリーがファイルにフラッシュされるのを待たずに、バッファーを無効にしても、すぐに結果を見えることがあります。ログバッファリングを無効にすると、負荷の高いサーバーのパフォーマンスに深刻な影響を与える可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-accesslog-logbuffering: off |
3.1.1.5. nsslapd-accesslog-logexpirationtime(アクセスログの有効期限)
この属性は、削除前にログファイルに到達できる最大期間を指定します。この属性はユニット数のみを提供します。ユニットは、nsslapd-accesslog-logexpirationtimeunit
属性で指定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-accesslog-logexpirationtime: 2 |
3.1.1.6. nsslapd-accesslog-logexpirationtimeunit(アクセスログの有効期限時間単位)
この属性は、nsslapd-accesslog-logexpirationtime
属性の単位を指定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | month |
構文 | DirectoryString |
例 | nsslapd-accesslog-logexpirationtimeunit: week |
3.1.1.7. nsslapd-accesslog-logging-enabled(アクセスログの有効化ロギング)
accesslog ロギングを無効にして有効にしますが、各データベースへのアクセスを記録するのに使用されるログのパスおよびパラメーターを指定する nsslapd-accesslog
属性と併せてのみ有効です。
アクセスロギングを有効にするには、この属性を on
に切り替え、nsslapd-accesslog
設定属性に有効なパスとパラメーターが必要です。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
属性 | 値 | ログの有効化または無効化 |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空の文字列 | 無効 |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | 有効 |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空の文字列 | 無効 |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | 無効 |
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-accesslog-logging-enabled: off |
3.1.1.8. nsslapd-accesslog-logmaxdiskspace(Access Log Maximum Disk Space)
この属性は、アクセスログが消費できる最大ディスク容量 (メガバイト単位) を指定します。この値を超えると、最も古いアクセスログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、アクセスログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | 500 |
構文 | 整数 |
例 | nsslapd-accesslog-logmaxdiskspace: 500 |
3.1.1.9. nsslapd-accesslog-logminfreediskspace(アクセスログ最小空きディスク容量)
この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古いアクセスログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-accesslog-logminfreediskspace: -1 |
3.1.1.10. nsslapd-accesslog-logrotationsync-enabled(アクセスログローテーション同期の有効化)
この属性は、アクセスログのローテーションが、特定の日に同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
アクセスログのローテーションを時刻で同期するには、この属性を nsslapd-accesslog-logrotationsynchour
属性値および nsslapd-accesslog-logrotationsyncmin
属性値をログファイルのローテーションの時間と分に設定して、この属性を有効にする必要があります。
たとえば、アクセスログファイルを毎日真夜中にローテーションするには、この属性の値を on
に設定して有効にし、nsslapd-accesslog-logrotationsynchour
属性および nsslapd-accesslog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-accesslog-logrotationsync-enabled: on |
3.1.1.11. nsslapd-accesslog-logrotationsynchour(アクセスログローテーション同期時間)
この属性は、アクセスログをローテーションする時刻を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled
属性および nsslapd-accesslog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-accesslog-logrotationsynchour: 23 |
3.1.1.12. nsslapd-accesslog-logrotationsyncmin(アクセスログローテーション同期確認確認)
この属性は、アクセスログをローテーションする日数を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled
属性および nsslapd-accesslog-logrotationsynchour
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-accesslog-logrotationsyncmin: 30 |
3.1.1.13. nsslapd-accesslog-logrotationtime(アクセスログローテーション時間)
この属性は、アクセスログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-accesslog-logrotationtimeunit
属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨していませんが、ログが無期限に増大するため、これを指定する方法は 2 つあります。nsslapd-accesslog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-accesslog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-accesslog-maxlogsperdir
属性をチェックして、この属性の値が 1
を超える場合、サーバーは nsslapd-accesslog-logrotationtime
属性をチェックします。詳細は、「nsslapd-accesslog-maxlogsperdir(アクセスログの最大数)」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、アクセスログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-accesslog-logrotationtime: 100 |
3.1.1.14. nsslapd-accesslog-logrotationtimeunit(アクセスログローテーション時間単位)
この属性は、nsslapd-accesslog-logrotationtime
属性の単位を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | day |
構文 | DirectoryString |
例 | nsslapd-accesslog-logrotationtimeunit: week |
3.1.1.15. nsslapd-accesslog-maxlogsize(アクセスログの最大サイズ)
この属性は、最大アクセスログサイズをメガバイト単位で設定します。この値に達すると、アクセスログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-accesslog-maxlogsperdir
属性が 1
に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-accesslog-maxlogsize: 100 |
3.1.1.16. nsslapd-accesslog-maxlogsperdir(アクセスログの最大数)
この属性は、アクセスログが保存されるディレクトリーに格納できるアクセスログの合計数を設定します。アクセスログがローテーションされるたびに、新しいログファイルが作成されます。アクセスログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンが削除されます。パフォーマンス上の理由から、サーバーがログをローテーションせず、ログが無制限に大きくなるため、Red Hat はこの値を 1
に設定 しない ことを推奨します。
この属性の値が 1
よりも大きい場合は、nsslapd-accesslog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-accesslog-logrotationtime
属性の値が -1
の場合、ログローテーションはありません。詳細は、「nsslapd-accesslog-logrotationtime(アクセスログローテーション時間)」 を参照してください。
nsslapd-accesslog-logminfreediskspace
および nsslapd-accesslog-maxlogsize
に設定した値によっては、実際のログ数は nsslapd-accesslog-maxlogsperdir
で設定する数よりも少なくなる可能性があることに注意してください。たとえば、nsslapd-accesslog-maxlogsperdir
がデフォルトの (10 ファイル) を使用し、nsslapd-accesslog-logminfreediskspace
を 500
MB に、nsslapd-accesslog-maxlogsize
を 100
MB に設定すると、Directory Server は 5 つのアクセスファイルのみを保持します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 10 |
構文 | 整数 |
例 | nsslapd-accesslog-maxlogsperdir: 10 |
3.1.1.17. nsslapd-accesslog-mode(アクセスログファイルのパーミッション)
この属性は、アクセスログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、000
から 777
の組み合わせ (番号または絶対 UNIX ファイルのパーミッション) です。値は、3 桁の数字である必要があります。数字は 0
から 7
まで変わります。
-
0
- なし -
1
- 実行のみ -
2
- 書き込みのみ -
3
- 書き込みおよび実行 -
4
- 読み取り専用 -
5
- 読み取りおよび実行 -
6
- 読み取りおよび書き込み -
7
- 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-accesslog-mode: 600 |
3.1.1.18. nsslapd-allow-anonymous-access
バインド DN またはパスワードを指定せずに Directory Server への接続を試みると、これは 匿名バインド になります。匿名バインドは、ユーザーが最初にディレクトリーに対して認証を行う必要がないため、電話番号や電子メールアドレスをディレクトリーで確認するような、一般的な検索および読み取り操作を簡素化します。
ただし、匿名バインドにはリスクがあります。機密情報へのアクセスを制限したり、変更や削除などのアクションを許可しないように、適切な ACI を導入する必要があります。さらに、匿名バインドは、サービス拒否攻撃や、悪意のあるユーザーがサーバーへのアクセスを取得するのに使用できます。
匿名バインドを無効にしてセキュリティーを強化できます (オフ)。デフォルトでは、匿名バインドは検索操作および読み取り操作に対して許可 (on) されます。これにより、ユーザーおよびグループのエントリーに加えて、root DSE などの設定エントリーを含む 通常のディレクトリーエントリー にアクセスすることができます。3 つ目のオプション rootdse
により、匿名検索および root DSE 自体への読み取りアクセスが許可されますが、他のすべてのディレクトリーエントリーへのアクセスを制限します。
必要に応じて、「nsslapd-anonlimitsdn」 で説明されているように nsslapd-anonlimitsdn
属性を使用して、リソース制限を匿名バインドに配置できます。
この値の変更は、サーバーが再起動するまで反映されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off | rootdse |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-allow-anonymous-access: on |
3.1.1.19. nsslapd-allow-hashed-passwords
このパラメーターは、事前にハッシュ化されたパスワードチェックを無効にします。デフォルトでは、Directory Server では、事前にハッシュ化されたパスワードは Directory Manager 以外のユーザーによって設定できません。この権限を Password Administrators グループに追加すると、他のユーザーに委任できます。ただし、レプリケーションパートナーが、事前にハッシュ化されたパスワードチェックをすでに制御している場合など、この機能は Directory Server で無効にする必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-allow-hashed-passwords: off |
3.1.1.20. nsslapd-allow-unauthenticated-binds
認証されていないバインドは、ユーザーが空のパスワードを提供する Directory Server への接続です。Directory Server では、デフォルト設定を使用すると、セキュリティー上の理由から、このシナリオのアクセスを拒否します。
Red Hat は、認証されていないバインドを有効にしないことを推奨します。この認証方法により、Directory Manager を含むアカウントとしてパスワードを指定せずにユーザーがバインドできます。バインド後、ユーザーはバインドに使用されるアカウントのパーミッションを持つすべてのデータにアクセスできます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-allow-unauthenticated-binds: off |
3.1.1.21. nsslapd-allowed-sasl-mechanisms
デフォルトでは、ルート DSE は SASL ライブラリーがサポートするすべてのメカニズムをリスト表示します。ただし、一部の環境では、特定の環境だけが優先されます。nsslapd-allowed-sasl-mechanisms
属性を使用すると、定義した SASL メカニズムのみを有効にできます。
メカニズム名は大文字、数字、およびアンダースコアで設定される必要があります。各メカニズムはコンマまたはスペースで区切ることができます。
EXTERNAL
メカニズムは SASL プラグインによって実際に使用されません。これはサーバーの内部であり、主に TLS クライアント認証に使用されます。したがって、EXTERNAL
メカニズムは制限または制御できません。nsslapd-allowed-sasl-mechanisms
属性に設定されているかどうかに関わらず、常にサポートされているメカニズムリストに表示されます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効な SASL メカニズム |
デフォルト値 | None(すべての SASL メカニズムが許可される) |
構文 | DirectoryString |
例 | nsslapd-allowed-sasl-mechanisms: GSSAPI、DIGEST-MD5、OTP |
3.1.1.22. nsslapd-anonlimitsdn
リソース制限は、認証されたバインドに設定できます。リソース制限では、検索の単一の操作 (nsslapd-sizeLimit
)、時間制限 (nsslapd-timelimit
)、およびタイムアウト期間 (nsslapd-idletimeout
)、ならびに検索可能なエントリーの合計数 (nsslapd-lookthroughlimit
) で検索可能なエントリー数の上限を設定できます。このリソース制限により、サービス拒否攻撃がディレクトリーリソースを結合し、全体的なパフォーマンスを向上させることができます。
リソース制限はユーザーエントリーに設定されます。匿名のバインディングは、当然ながら、ユーザーエントリーとは関係ありません。これは、通常、リソース制限が匿名操作には適用されません。
匿名バインドにリソース制限を設定するには、適切なリソース制限でテンプレートエントリーを作成できます。nsslapd-anonlimitsdn
設定属性を追加して、このエントリーを指定し、リソース制限を匿名バインドに適用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
3.1.1.23. nsslapd-attribute-name-exceptions
この属性を使用すると、属性名の標準以外の文字を、スキーマ定義属性の "_" など、古いサーバーと後方互換性に使用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-attribute-name-exceptions: on |
3.1.1.24. nsslapd-auditlog(監査ログ)
この属性は、各データベースに加えられた変更を記録するために使用されるログのパスおよびファイル名を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名 |
デフォルト値 | /var/log/dirsrv/slapd-instance/audit |
構文 | DirectoryString |
例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-auditlog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
dse.ldif の属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空の文字列 | 無効 |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | 有効 |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空の文字列 | 無効 |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | 無効 |
3.1.1.25. nsslapd-auditlog-display-attrs
nsslapd-auditlog-display-attrs
属性を使用すると、Directory Server が監査ログに表示する属性を設定して、変更されるエントリーに関する有用な識別情報を提供できます。監査ログに属性を追加すると、エントリー内の特定の属性の現在の状態とエントリーの更新の詳細を確認できます。
次のオプションのいずれかを選択して、ログ内の属性を表示できます。
- Directory Server が変更するエントリーの特定の属性を表示するには、属性名を値として指定します。
- 複数の属性を表示するには、スペースで区切られた属性名のリストを値として指定します。
- エントリーのすべての属性を表示するには、値としてアスタリスク (*) を使用します。
Directory Server が監査ログに表示する必要がある属性のスペース区切りのリストを指定するか、値としてアスタリスク (*) を使用して、変更されるエントリーのすべての属性を表示します。
たとえば、監査ログ出力に cn
属性を追加するとします。nsslapd-auditlog-display-attrs
属性を cn
に設定すると、監査ログに次の出力が表示されます。
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: Frank Lee
result: 0
changetype: modify
replace: description
description: Adds cn attribute to the audit log
-
replace: modifiersname
modifiersname: cn=dm
-
replace: modifytimestamp
modifytimestamp: 20221027142743Z
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効な属性名。監査ログ内のエントリーのすべての属性を表示する場合は、アスタリスク (*) を使用します。 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-auditlog-display-attrs: cn ou |
3.1.1.26. nsslapd-auditlog-list
監査ログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
3.1.1.27. nsslapd-auditlog-logexpirationtime(監査ログの有効期限)
この属性は、ログファイルが削除される前に許可される最大期間を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logexpirationtimeunit
属性で指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditlog-logexpirationtime: 1 |
3.1.1.28. nsslapd-auditlog-logexpirationtimeunit(監査ログの有効期限時間単位)
この属性は、nsslapd-auditlog-logexpirationtime
属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditlog-logexpirationtimeunit: day |
3.1.1.29. nsslapd-auditlog-logging-enabled(監査ログの有効化)
監査ロギングをオンおよびオフにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditlog-logging-enabled: off |
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、ns slapd-auditlog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空の文字列 | 無効 |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | 有効 |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空の文字列 | 無効 |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | 無効 |
3.1.1.30. nsslapd-auditlog-logmaxdiskspace(監査ログの最大ディスク領域)
この属性は、監査ログが消費できる最大ディスク容量をメガバイト単位で設定します。この値を超えると、最も古い監査ログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が維持する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
3.1.1.31. nsslapd-auditlog-logminfreediskspace(監査ログの最小ディスク領域)
この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性によって指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古い監査ログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditlog-logminfreediskspace: -1 |
3.1.1.32. nsslapd-auditlog-logrotationsync-enabled(監査ログローテーション同期の有効化)
この属性は、監査ログのローテーションが特定の時刻と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditlog-logrotationsynchour
属性値および nsslapd-auditlog-logrotationsyncmin
属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査ログファイルをローテーションするには、その値を on
に設定してこの属性を有効にしてから、nsslapd-auditlog-logrotationsynchour
属性および nsslapd-auditlog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditlog-logrotationsync-enabled: on |
3.1.1.33. nsslapd-auditlog-logrotationsynchour(監査ログローテーション同期時間)
この属性は、監査ログのローテーションを行う時刻を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled
属性および nsslapd-auditlog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditlog-logrotationsynchour: 23 |
3.1.1.34. nsslapd-auditlog-logrotationsyncmin(監査ログローテーション同期数)
この属性は、監査ログのローテーションに使用する日数を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled
属性および nsslapd-auditlog-logrotationsynchour
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditlog-logrotationsyncmin: 30 |
3.1.1.35. nsslapd-auditlog-logrotationtime(監査ログローテーション時間)
この属性は、監査ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logrotationtimeunit
属性で指定します。nsslapd-auditlog-maxlogsperdir
属性が 1
に設定されていると、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditlog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-auditlog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-auditlog-maxlogsperdir
属性をチェックして、この属性の値が 1
よりも大きい場合、サーバーは nsslapd-auditlog-logrotationtime
属性をチェックします。詳細は、「nsslapd-auditlog-maxlogsperdir(監査ログの最大数)」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditlog-logrotationtime: 100 |
3.1.1.36. nsslapd-auditlog-logrotationtimeunit(監査ログローテーション時間単位)
この属性は、nsslapd-auditlog-logrotationtime
属性の単位を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditlog-logrotationtimeunit: day |
3.1.1.37. nsslapd-auditlog-maxlogsize(監査ログの最大サイズ)
この属性は、最大監査ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditlog-maxlogsperdir
を 1
にすると、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-auditlog-maxlogsize: 50 |
3.1.1.38. nsslapd-auditlog-maxlogsperdir(監査ログの最大数)
この属性は、監査ログが保存されるディレクトリーに格納できる監査ログの合計数を設定します。監査ログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1
ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1
よりも大きい場合は、nsslapd-auditlog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-auditlog-logrotationtime
属性の値が -1
の場合、ログローテーションはありません。詳細は、「nsslapd-auditlog-logrotationtime(監査ログローテーション時間)」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditlog-maxlogsperdir: 10 |
3.1.1.39. nsslapd-auditlog-mode(監査ログファイルのパーミッション)
この属性は、監査ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000
から 777
の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0
から 7
によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-auditlog-mode: 600 |
3.1.1.40. nsslapd-auditfaillog(送信失敗ログ)
この属性は、失敗した LDAP の変更を記録するために使用されるログのパスおよびファイル名を設定します。
nsslapd-auditfaillog-logging-enabled
が有効にされており、nsslapd-auditfaillog
が設定されていない場合、監査の失敗イベントは nsslapd-auditlog
で指定されたファイルに記録されます。
nsslapd-auditfaillog
パラメーターを nsslapd-auditlog
と同じパスに設定すると、いずれも同じファイルに記録されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名 |
デフォルト値 | /var/log/dirsrv/slapd-instance/audit |
構文 | DirectoryString |
例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
監査の失敗ログを有効にするには、この属性に有効なパスが必要で、nsslapd-auditfaillog-logging-enabled
属性を on
に設定する必要があります。
3.1.1.41. nsslapd-auditfaillog-list
監査失敗のログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
3.1.1.42. nsslapd-auditfaillog-logexpirationtime(監査ログの有効期限)
この属性は、削除前のログファイルの最大期間を設定します。ユニット数に提供されます。nsslapd-auditfaillog-logexpirationtimeunit
属性の day、week、month など、単位を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logexpirationtime: 1 |
3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit(Audit Fail Log Expiration Time Unit)
この属性は、nsslapd-auditfaillog-logexpirationtime
属性に単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
3.1.1.44. nsslapd-auditfaillog-logging-enabled(Audit Fail Log Enable Logging)
失敗した LDAP 変更のロギングをオンまたはオフにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logging-enabled: off |
3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace(監査ログの最大ディスク領域)
この属性は、監査ログが消費できる最大ディスク容量をメガバイト単位で設定します。サイズが制限を超えると、最も古い監査ログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
3.1.1.46. nsslapd-auditfaillog-logminfreediskspace(監査失敗ログ最小空きディスク容量)
この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量が指定された値よりも小さい場合、十分なディスク領域が解放されるまで最も古い監査ログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled(監査失敗ログローテーション同期有効)
この属性は、監査失敗のログローテーションが、特定の日に同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査失敗ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditfaillog-logrotationsynchour
属性値および nsslapd-auditfaillog-logrotationsyncmin
属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査失敗ログファイルをローテーションするには、その値を on
に設定してこの属性を有効にしてから、nsslapd-auditfaillog-logrotationsynchour
属性および nsslapd-auditfaillog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logrotationsync-enabled: on |
3.1.1.48. nsslapd-auditfaillog-logrotationsynchour(監査ログローテーション同期時間)
この属性は、監査ログがローテーションされる時刻を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled
属性および nsslapd-auditfaillog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin(監査ログローテーション同期数)
この属性は、監査ログがローテーションされる分を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled
属性および nsslapd-auditfaillog-logrotationsynchour
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
3.1.1.50. nsslapd-auditfaillog-logrotationtime(監査ログローテーション時間)
この属性は、監査失敗ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditfaillog-logrotationtimeunit
属性で指定します。nsslapd-auditfaillog-maxlogsperdir
属性が 1
に設定されている場合、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditfaillog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-auditfaillog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-auditfaillog-maxlogsperdir
属性をチェックして、この属性の値が 1
を超える場合は、サーバーでは nsslapd-auditfaillog-logrotationtime
属性を確認します。詳細は、「nsslapd-auditfaillog-maxlogsperdir(監査ログの最大数)」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査失敗ログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logrotationtime: 100 |
3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit(監査失敗ログローテーション時間単位)
この属性は、nsslapd-auditfaillog-logrotationtime
属性の単位を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logrotationtimeunit: day |
3.1.1.52. nsslapd-auditfaillog-maxlogsize(監査ログの最大サイズ)
この属性は、最大監査失敗ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditfaillog-maxlogsperdir
パラメーターが 1
に設定されている場合、サーバーはこの属性を無視します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-auditfaillog-maxlogsize: 50 |
3.1.1.53. nsslapd-auditfaillog-maxlogsperdir(監査ログの最大数)
この属性は、監査ログが保存されるディレクトリーに格納できる監査ログの合計数を設定します。監査失敗のログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1
ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1
よりも大きい場合は、nsslapd-auditfaillog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを設定します。nsslapd-auditfaillog-logrotationtime
属性の値が -1
の場合は、ログローテーションがありません。詳細は、「nsslapd-auditfaillog-logrotationtime(監査ログローテーション時間)」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
3.1.1.54. nsslapd-auditfaillog-mode(監査失敗ログファイルパーミッション)
この属性は、監査失敗ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000
から 777
の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0
から 7
によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-auditfaillog-mode: 600 |
3.1.1.55. nsslapd-bakdir(デフォルトのバックアップディレクトリー)
このパラメーターは、デフォルトのバックアップディレクトリーへのパスを設定します。Directory Server ユーザーには、設定されたディレクトリーに書き込みパーミッションが必要です。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意のローカルディレクトリーパス。 |
デフォルト値 | /var/lib/dirsrv/slapd-instance/bak |
構文 | DirectoryString |
例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
3.1.1.56. nsslapd-certdir(証明書およびキーデータベースディレクトリー)
このパラメーターは、Directory Server がインスタンスの Network Security Services(NSS) データベースを保存するために使用するディレクトリーへの完全パスを定義します。このデータベースには、インスタンスの秘密鍵と証明書が含まれます。
フォールバックとして Directory Server は、秘密鍵と証明書をこのディレクトリーに抽出します。サーバーがプライベート名前空間の /tmp/
ディレクトリーに抽出できません。プライベート名スペースの詳細は、systemd.exec(5) の man ページの PrivateTmp
パラメーターの説明を参照してください。
nsslapd-certdir
で指定したディレクトリーはサーバーのユーザー ID で所有され、このユーザー ID のみがこのディレクトリーに読み取り/書き込みパーミッションを持っている必要があります。セキュリティー上の理由から、他のユーザーには、このディレクトリーに読み書きするパーミッションがありません。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 絶対パス |
デフォルト値 | /etc/dirsrv/slapd-instance_name/ |
構文 | DirectoryString |
例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
3.1.1.57. nsslapd-certmap-basedn(証明書マップ検索ベース)
この属性は、/etc/dirsrv/slapd-instance_name/certmap.conf
ファイルで設定される security サブシステム証明書マッピングの制限を回避するために、TLS 証明書を使用してクライアント認証を実行する場合に使用できます。このファイルの設定によっては、証明書マッピングは、ルート DN に基づいてディレクトリーサブツリー検索を使用して実行できます。検索がルート DN をベースとする場合、nsslapd-certmap-basedn
属性は、ルート以外のエントリーに基づいて検索を強制的に実行する可能性があります。この属性の有効な値は、証明書マッピングに使用する接尾辞またはサブツリーの DN です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の有効な DN |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
3.1.1.58. nsslapd-config
この読み取り専用属性は設定 DN です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の有効な設定 DN |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-config: cn=config |
3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
このパラメーターを使用すると、CNF 値内で DN を有効にできます。
Directory Server の DN ノーマライザーは RFC4514 に従い、RDN 属性タイプが DN 構文にベースでない場合は空白を保持します。ただし、Directory Server の設定エントリーは、cn
属性を使用して DN 値を保存することがあります。たとえば、dn: cn="dc=A,dc=com", cn=mapping tree,cn=config
の場合は、DN 構文に従って cn
を正規化する必要があります。
この設定が必要な場合は、nsslapd-cn-uses-dn-syntax-in-dns
パラメーターを有効にします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
3.1.1.60. nsslapd-connection-buffer: 1
この属性は、接続バッファーの動作を設定します。値:
-
0
: バッファーを無効にします。PDU(単一のプロトコルデータユニット) のみが一度に読み込まれます。 -
1
:512
バイトの通常の固定サイズLDAP_SOCKET_IO_BUFFER_SIZE
。 -
2
: 適応可能なバッファーサイズ
値が 2
の場合は、クライアントが大量のデータを一度に送信する場合にパフォーマンスが向上します。たとえば、大規模な追加や変更操作の場合や、多くの非同期リクエスト数がレプリケーション中に単一の接続で受信される場合などがこれに該当します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 | 1 | 2 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-connection-buffer: 1 |
3.1.1.61. nsslapd-connection-nocanon
このオプションを使用すると、SASL NOCANON
フラグを有効または無効にできます。無効にすると、Directory Server は、送信接続の DNS 逆引きエントリーを検索しないようにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-connection-nocanon: on |
3.1.1.62. nsslapd-conntablesize
この属性は接続テーブルサイズを設定し、サーバーによってサポートされる接続の総数を決定します。
接続スロットが不足しているため、Directory Server が接続を拒否する場合は、この属性の値を増やします。この状況が発生すると、Directory Server のエラーログファイルは、Not listening for new connections — too many fds open
メッセージを記録します。
オープンファイルの数とプロセスごとのオープンファイル数の上限を増やす必要がある場合があります。Directory Server を起動するシェルでオープンファイルの数 (ulimit
-n) の ulimit を増やす
必要がある場合があります。
接続テーブルのサイズは、nsslapd-maxdescriptor
で上限です。詳細は、「nsslapd-maxdescriptors(最大ファイル記述子)」 を参照してください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Values | オペレーティングシステムに依存します |
Default Value |
Directory Server プロセスが開くことのできるファイルの最大数。 |
Syntax | 整数 |
Example | nsslapd-conntablesize: 4093 |
3.1.1.63. nsslapd-counters
nsslapd-counters
属性は、Directory Server データベースおよびサーバーパフォーマンスカウンターを有効および無効にします。
大きなカウンターを追跡すると、パフォーマンスに影響する可能性があります。カウンターの 64 ビットの整数をオフにすると、パフォーマンスが最小限に抑えられますが、長期統計追跡に悪影響を及ぼします。
このパラメーターは、デフォルトで有効になっています。カウンターを無効にするには、Directory Server を停止し、直接 dse.ldif
ファイルを編集し、サーバーを再起動します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-counters: on |
3.1.1.64. nsslapd-csnlogging
この属性は、利用可能な場合は変更シーケンス番号 (CSN) がアクセスログに記録されるかどうかを設定します。デフォルトでは、CSN ロギングがオンになっています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-csnlogging: on |
3.1.1.65. nsslapd-defaultnamingcontext
この属性は、クライアントがデフォルトで検索ベースとして使用する、設定されたすべての命名コンテキストを示します。この値は、defaultNamingContext
属性としてルート DSE にコピーされます。これにより、クライアントはルート DSE にクエリーを実行してコンテキストを取得し、適切なベースで検索を開始できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | ルート接尾辞 DN |
デフォルト値 | デフォルトのユーザー接尾辞 |
構文 | DN |
例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
3.1.1.66. nsslapd-disk-monitoring
この属性は、ディスクで利用可能なディスク領域を確認するか、Directory Server データベースが実行している場所をマウントするために 10 秒ごとに実行されるスレッドを有効にします。利用可能なディスク領域が設定されたしきい値を下回ると、サーバーはロギングレベルの削減、アクセスまたは監査ログの無効化、ローテーションされたログの削除を行います。利用可能な領域が十分にない場合は、サーバーは正常にシャットダウンします (ウェイアと猶予期間後)。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring: on |
3.1.1.67. nsslapd-disk-monitoring-grace-period
「nsslapd-disk-monitoring-threshold」 に設定されたディスク領域制限の半分に達すると、サーバーをシャットダウンするまで待機する猶予期間を設定します。これにより、管理者がディスクをクリーンアップし、シャットダウンを防ぐことができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の整数値 (分単位) |
デフォルト値 | 60 |
構文 | 整数 |
例 | nsslapd-disk-monitoring-grace-period: 45 |
3.1.1.68. nsslapd-disk-monitoring-logging-critical
ログディレクトリーがディスク領域の制限 「nsslapd-disk-monitoring-threshold」 に設定された半方向ポイントをパスした場合にサーバーをシャットダウンするかどうかを設定します。
これを有効にすると、ロギングは無効 ではなく、サーバーによるディスク使用量を減らす手段としてローテーションされたログは削除されません。サーバーは単にシャットダウンプロセスを実行します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring-logging-critical: on |
3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
空きディスク領域が nsslapd-disk-monitoring-threshold
パラメーターに設定した値の半分に達すると、Directory Server は、nsslapd-disk-monitoring-grace-period
に設定された猶予期間後にインスタンスをシャットダウンします。ただし、インスタンスが停止する前にディスクの容量が不足すると、データが破損する可能性があります。この問題を回避するには、しきい値に達した場合に nsslapd-disk-monitoring-readonly-on-threshold
パラメーターを有効にします。Directory Server は、しきい値に達したときにインスタンスを読み取り専用モードに設定します。
この設定では、空きディスク領域が nsslapd-disk-monitoring-threshold
で設定したしきい値の半分を下回ると、Directory Server が起動しません。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
3.1.1.70. nsslapd-disk-monitoring-threshold
サーバーに十分なディスク領域があるかどうかを評価するために使用するしきい値をバイト単位で設定します。領域がこのしきい値の半分に達すると、サーバーはシャットダウンプロセスを開始します。
たとえば、しきい値が 2MB(デフォルト) の場合、利用可能なディスク領域が 1MB になると、サーバーはシャットダウンを開始します。
デフォルトでは、しきい値は Directory Server インスタンスの設定、トランザクション、およびデータベースディレクトリーによって使用されるディスク領域に対して評価されます。「nsslapd-disk-monitoring-logging-critical」 属性が有効な場合は、ログディレクトリーが評価に含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | * 32 ビットシステムの 0 から 32 ビットの整数値 (2147483647) * 64 ビットシステムの 0 から 64 ビットの整数値 (9223372036854775807) |
デフォルト値 | 2000000 (2MB) |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring-threshold: 2000000 |
3.1.1.71. nsslapd-dn-validate-strict
「nsslapd-syntaxcheck」 属性により、サーバーは新規または変更された属性値がその属性に必要な構文と一致することを確認できます。
ただし、DN の構文ルールでは、厳格さが増大しています。RFC 4514 で DN 構文ルールを適用しようとすると、古い構文定義を使用して多くのサーバーが破損する可能性があります。デフォルトでは、nsslapd-syntaxcheck
は RFC 1779 または RFC 2253 を使用して DN を検証します。
nsslapd-dn-validate-strict
属性は、RFC 4514 のセクション 3 に従って、DN の厳密な構文検証を明示的に有効にします。この属性を off
(デフォルト) に設定すると、サーバーは、構文違反があるかどうかをチェックする前に値を正規化します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-dn-validate-strict: off |
3.1.1.72. nsslapd-ds4-compatible-schema
cn=schema
のスキーマを Directory Server の 4.x バージョンと互換性を持たせるようにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-ds4-compatible-schema: off |
3.1.1.73. nsslapd-enable-turbo-mode
Directory Server の Turbo モードは、ワーカースレッドを接続専用にし、その接続からの受信操作を継続的に読み取ることができる機能です。これにより、非常にアクティブな接続でパフォーマンスを向上でき、この機能はデフォルトで有効になります。
ワーカースレッドは、サーバーによって受信される LDAP 操作を処理します。ワーカースレッドの数は nsslapd-threadnumber
パラメーターで定義されます。各ワーカースレッドは、現在の接続のアクティビティーレベルが、確立されたすべての接続間で最大 1 つであるかどうかを評価します。Directory Server は、最後のチェック以降に開始される操作の数としてアクティビティーを測定し、現在の接続の動作が最も高い場合は turbo モードでワーカースレッドを切り替えます。
1 秒以上など、バインド操作の実行時間が長い (ログファイルの etime
値) 場合は、ターボモードを無効にするとパフォーマンスが向上する可能性があります。ただし、場合によっては、バインド時間がネットワークやハードウェアの問題の現象となる場合があります。このような状況では、turbo モードを無効にするとパフォーマンスが向上しません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-enable-turbo-mode: on |
3.1.1.74. nsslapd-enable-upgrade-hash
単純なバインド時に、バインド操作の性質上、Directory Server はプレーンテキストのパスワードにアクセスできます。nsslapd-enable-upgrade-hash
パラメーターが有効で、ユーザーを認証した場合、Directory Server は、ユーザーの userPassword
属性が passwordStorageScheme
属性に設定されたハッシュアルゴリズムを使用するかどうかを確認します。アルゴリズムが異なる場合、サーバーは passwordStorageScheme
のアルゴリズムでプレーンテキストのパスワードをハッシュ化し、ユーザーの userPassword
属性の値を更新します。
たとえば、弱いアルゴリズムを使用してハッシュ化されたパスワードを持つユーザーエントリーをインポートする場合、サーバーは passwordStorageScheme
(デフォルトでは PBKDF2_SHA256
) に設定したアルゴリズムを使用して、ユーザーの最初のログインでパスワードを自動的にハッシュ化します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-enable-upgrade-hash: on |
3.1.1.75. nsslapd-enquote-sup-oc (上級オブジェクトクラスエンクォーティングの有効化)
この属性は非推奨となり、Directory Server の今後のバージョンで削除されます。
この属性は、cn=schema
エントリーに含まれる objectclass
属性の引用が、インターネットのドラフト RFC 2252 によって指定された引用に準拠するかどうかを制御します。デフォルトでは、Directory Server は RFC 2252 に準拠しており、この値は引用符で囲まれていないことを示します。非常に古いクライアントのみでは、この値を on
に設定する必要があります。したがって、この値は off
のままにします。
この属性をオンまたはオフにしても、Directory Server コンソールには影響を及ぼしません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-enquote-sup-oc: off |
3.1.1.76. nsslapd-entryusn-global
nsslapd-entryusn-global
パラメーターは、USN プラグインがすべてのバックエンドデータベースまたは各データベースに個別に生成される更新シーケンス番号 (USN) を割り当てるかどうかを定義します。すべてのバックエンドデータベースで一意の USN の場合は、このパラメーターを on
に設定します。
詳細は 「entryusn」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-entryusn-global: off |
3.1.1.77. nsslapd-entryusn-import-initval
エントリーがサーバーからエクスポートされ、別のサーバーにインポートされた場合には、エントリーの更新シーケンス番号 (USN) が保持されません (レプリケーション用のデータベースの初期化の際を含む)。デフォルトでは、インポートされたエントリーのエントリー USN はゼロに設定されます。
nsslapd-entryusn-import-initval
を使用して、エントリー USN に別の初期値を設定できます。これは、すべてのインポートされたエントリーに使用される開始 USN を設定します。
nsslapd-entryusn-import-initval
には 2 つの値があります。
- 整数。インポートされたすべてのエントリーに使用される明示的な開始番号です。
- next。つまり、インポートされたエントリーはすべて、インポート操作の前にサーバー上にあった最大のエントリー USN 値を、1 つずつインクリメントして使用します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の整数 | 次へ |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-entryusn-import-initval: next |
3.1.1.78. nsslapd-errorlog(エラーログ)
この属性は、Directory Server が生成するエラーメッセージを記録するために使用されるログのパスおよびファイル名を設定します。これらのメッセージはエラー状態を記述することができますが、多くの場合、以下のような情報的条件が含まれます。
- サーバーの起動およびシャットダウン時間。
- サーバーが使用するポート番号。
このログの情報量は、Log Level 属性の現在の設定により異なります。詳細は、「nsslapd-errorlog-level(エラーログレベル)」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名 |
デフォルト値 | /var/log/dirsrv/slapd-instance/errors |
構文 | DirectoryString |
例 | nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors |
エラーロギングを有効にするには、この属性に有効なパスとファイル名が必要で、nsslapd-errorlog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、エラーロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
dse.ldif の属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空の文字列 | 無効 |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | 有効 |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空の文字列 | 無効 |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | 無効 |
3.1.1.79. nsslapd-errorlog-level(エラーログレベル)
この属性は、Directory Server のロギングレベルを設定します。ログレベルは加算されます。つまり、3
の値を指定するとレベル 1
と 2
の両方が含まれます。
nsslapd-errorlog-level
のデフォルト値は 16384
です。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | * 1 - 追跡関数の呼び出し。サーバーに入る際にメッセージをログに記録し、関数を終了します。 * 2 - デバッグパケット処理。 * 4 - ヘビートレース出力デバッグ。 * 8 - 接続管理。 * 16 - 送信/受信パケットの出力。 * 32 - 検索フィルター処理。 * 64 - 設定ファイル処理。 * 128 - アクセス制御リスト処理。 * 1024 - シェルデータベースとのログ通信。 * 2048 - デバッグを解析するログエントリー。 * 4096 - ハウスキーピングスレッドのデバッグ。 * 8192 - レプリケーションのデバッグ。 * 16384 - 重大なエラーや、常にエラーログに書き込まれるその他のメッセージに使用されるデフォルトのロギングレベル (例: サーバー起動メッセージ)このレベルのメッセージは、ログレベルの設定に関係なく、常にエラーログに含まれます。 * 32768 - データベースキャッシュのデバッグ
* 65536 - サーバープラグインのデバッグ。サーバープラグインが
* 262144 - アクセス制御サマリー情報。レベル * 524288 - LMDB データベースのデバッグ。 |
デフォルト値 | 16384 |
構文 | 整数 |
例 | nsslapd-errorlog-level: 8192 |
3.1.1.80. nsslapd-errorlog-list
この読み取り専用属性は、エラーログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
3.1.1.81. nsslapd-errorlog-logexpirationtime(エラーログの有効期限)
この属性は、削除前にログファイルが到達できる最大期間を設定します。この属性はユニット数のみを提供します。ユニット (day、week、month など) は nsslapd-errorlog-logexpirationtimeunit
属性で指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-errorlog-logexpirationtime: 1 |
3.1.1.82. nsslapd-errorlog-logexpirationtimeunit(エラーログの有効期限時間単位)
この属性は、nsslapd-errorlog-logexpirationtime
属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | month |
構文 | DirectoryString |
例 | nsslapd-errorlog-logexpirationtimeunit: week |
3.1.1.83. nsslapd-errorlog-logging-enabled(エラーロギングの有効化)
エラーロギングのオンとオフを切り替えます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-errorlog-logging-enabled: on |
3.1.1.84. nsslapd-errorlog-logmaxdiskspace(エラーログの最大ディスク領域)
この属性は、エラーログが消費できる最大ディスク容量をメガバイト単位で設定します。この値を超えると、最も古いエラーログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、エラーログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
3.1.1.85. nsslapd-errorlog-logminfreediskspace(エラーログの最小ディスク領域)
この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古いアクセスログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-errorlog-logminfreediskspace: -1 |
3.1.1.86. nsslapd-errorlog-logrotationsync-enabled(エラーログローテーション同期が有効)
この属性は、エラーログのローテーションが特定の時刻と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
エラーロギングのローテーションを時刻で同期するには、この属性を nsslapd-errorlog-logrotationsynchour
属性値および nsslapd-errorlog-logrotationsyncmin
属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜にエラーログファイルをローテーションするには、その値を on
に設定してこの属性を有効にしてから、nsslapd-errorlog-logrotationsynchour
属性および nsslapd-errorlog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-errorlog-logrotationsync-enabled: on |
3.1.1.87. nsslapd-errorlog-logrotationsynchour(エラーログローテーション同期時間)
この属性は、エラーログをローテーションする時刻を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled
属性および nsslapd-errorlog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-errorlog-logrotationsynchour: 23 |
3.1.1.88. nsslapd-errorlog-logrotationsyncmin(エラーログローテーション同期確認)
この属性は、エラーログをローテーションするために 1 日分を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled
属性および nsslapd-errorlog-logrotationsynchour
属性と併用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-errorlog-logrotationsyncmin: 30 |
3.1.1.89. nsslapd-errorlog-logrotationtime(エラーログローテーション時間)
この属性は、エラーログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。ユニット (day、week、month など) は nsslapd-errorlog-logrotationtimeunit
(エラーログローテーション時間単位) 属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-errorlog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-errorlog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-errorlog-maxlogsperdir
属性をチェックして、この属性の値が 1
よりも大きい場合、サーバーは nsslapd-errorlog-logrotationtime
属性をチェックします。詳細は、「nsslapd-errorlog-maxlogsperdir(最大エラーログファイル数)」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、エラーログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-errorlog-logrotationtime: 100 |
3.1.1.90. nsslapd-errorlog-logrotationtimeunit(エラーログローテーション時間単位)
この属性は、nsslapd-errorlog-logrotationtime
(エラーログローテーション時間) の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-errorlog-logrotationtimeunit: day |
3.1.1.91. nsslapd-errorlog-maxlogsize(最大ログサイズ)
この属性は、最大エラーログサイズをメガバイト単位で設定します。この値に達すると、エラーログがローテーションされ、サーバーはログ情報の新しいログファイルへの書き込みを開始します。nsslapd-errorlog-maxlogsperdir
が 1
に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647) で、値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-errorlog-maxlogsize: 100 |
3.1.1.92. nsslapd-errorlog-maxlogsperdir(最大エラーログファイル数)
この属性は、エラーログが保存されるディレクトリーに格納できるエラーログの合計数を設定します。エラーログがローテーションされるたびに、新しいログファイルが作成されます。エラーログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1
ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1
よりも大きい場合は、nsslapd-errorlog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-errorlog-logrotationtime
属性の値が -1
の場合、ログローテーションはありません。詳細は、「nsslapd-errorlog-logrotationtime(エラーログローテーション時間)」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-errorlog-maxlogsperdir: 10 |
3.1.1.93. nsslapd-errorlog-mode(エラーログファイルのパーミッション)
この属性は、エラーログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000
から 777
の組み合わせです。つまり、値は 3 桁の数字の組み合わせである必要があり、数字は 0
から 7
によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-errorlog-mode: 600 |
3.1.1.94. nsslapd-force-sasl-external
TLS 接続を確立すると、クライアントは最初に証明書を送信し、SASL/EXTERNAL メカニズムを使用して BIND 要求を発行します。SASL/EXTERNAL を使用すると、Directory Server に対して、TLS ハンドシェイクの証明書の認証情報を使用するように指示します。ただし、一部のクライアントは BIND 要求を送信するときに SASL/EXTERNAL を使用しないため、Directory Server は簡易認証要求または匿名要求としてバインドを処理し、TLS 接続が失敗します。
nsslapd-force-sasl-external
属性は、証明書ベースの認証でクライアントを強制し、SASL/EXTERNAL メソッドを使用して BIND 要求を送信します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | String |
例 | nsslapd-force-sasl-external: on |
3.1.1.95. nsslapd-groupevalnestlevel
この属性は非推奨になり、これまでの目的でのみ説明されます。
アクセス制御プラグインは nsslapd-groupevalnestlevel
属性で指定された値を使用して、アクセス制御がグループ評価用に実行するネストのレベル数を設定します。その代わりに、ネスト化のレベルの数は 5
としてハードコーディングされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 5 |
デフォルト値 | 5 |
構文 | 整数 |
例 | nsslapd-groupevalnestlevel: 5 |
3.1.1.96. nsslapd-haproxy-trusted-ip (HAProxy 信頼済み IP)
nsslapd-haproxy-trusted-ip
属性は、信頼できるプロキシーサーバーのリストを設定します。nsslapd-haproxy-trusted-ip を設定すると、Directory Server は HAProxy プロトコルを使用して追加の TCP ヘッダー経由でクライアント IP アドレスを受信し、アクセス制御命令 (ACI) を正しく評価してクライアントトラフィックをログに記録します。
信頼されていないプロキシーサーバーがバインド要求を開始した場合、Directory Server は要求を拒否し、エラーログファイルに次のメッセージを記録します。
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | IPv4 または IPv6 アドレス。 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-haproxy-trusted-ip: 127.0.0.1 |
3.1.1.97. nsslapd-idletimeout(デフォルトのアイドルタイムアウト)
この属性は、アイドル状態の LDAP クライアント接続がサーバーによって閉じられるまでの秒数を設定します。0
に設定すると、サーバーはアイドル状態の接続を閉じなくなります。この設定は、すべての接続およびすべてのユーザーに適用されます。Poll()
が 0 を返さない場合、接続テーブルがウォークされたときにアイドル状態のタイムアウトが強制されます。そのため、1 つの接続を持つサーバーはアイドル状態のタイムアウトを強制しません。
ユーザーエントリーに追加できる nsIdleTimeout
操作属性を使用して、この属性に割り当てられた値を上書きします。詳細は、Red Hat Directory Server 管理ガイドのバインド DN に基づいたリソース制限の設定セクションを参照してください。
非常に大規模なデータベースの場合、この属性には、エントリーへの接続がタイムアウトすると、オンライン初期化プロセスが完了するか、レプリケーションが失敗するまで十分な値が必要です。または、nsIdleTimeout
属性を、サプライヤーバインド DN として使用するエントリーの高い値に設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 3600 |
構文 | 整数 |
例 | nsslapd-idletimeout: 3600 |
3.1.1.98. nsslapd-ignore-virtual-attrs
このパラメーターを使用すると、検索エントリーで仮想属性ルックアップを無効にできます。
仮想属性が必要ない場合は、検索結果で仮想属性ルックアップを無効にして、検索の速度を増やすことができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
Example | nsslapd-ignore-virtual-attrs: off |
3.1.1.99. nsslapd-instancedir(インスタンスディレクトリー)
この属性は非推奨になりました。nsslapd-certdir
、nsslapd-lockdir
などのインスタンス固有のパス用に個別の設定パラメーターになりました。設定された特定のディレクトリーパスのドキュメントを参照してください。
3.1.1.100. nsslapd-ioblocktimeout(IO ブロックのタイムアウト)
この属性は、停止した LDAP クライアントへの接続を閉じるまでの時間をミリ秒単位で設定します。LDAP クライアントは、読み取りまたは書き込み操作の I/O の進捗が全くない場合には停止されたと見なされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | ティックにおける 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 10000 |
構文 | 整数 |
例 | nsslapd-ioblocktimeout: 10000 |
3.1.1.101. nsslapd-lastmod(トラッキング変更時間)
この属性は、Directory Server が新しく作成または更新されたエントリーの操作属性 creatorsName
、createTimestamp
、modifiersName
、および modifyTimestamp
を維持するかどうかを設定します。
Red Hat は、これらの属性の追跡を無効にしないことを推奨します。無効にすると、エントリーは nsUniqueID
属性に割り当てられた一意の ID を取得しなくなり、レプリケーションは機能しません。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-lastmod: on |
3.1.1.102. nsslapd-ldapiautobind(Enable Autobind)
nsslapd-ldapiautobind
は、サーバーが LDAPI を使用して Directory Server に自動バインドできるようにするかどうかを設定します。自動バインドは、システムユーザーの UID または GUID 数を Directory Server ユーザーにマッピングし、これらの認証情報に基づいて Directory Server に対してユーザーを自動的に認証します。Directory Server 接続は UNIX ソケット上で実行されます。
自動バインドを有効にするとともに、自動バインドを設定するには、マッピングエントリーを設定する必要があります。nsslapd-ldapimaprootdn
は、システム上の root ユーザーを Directory Manager にマッピングします。nsslapd-ldapimaptoentries
は、nsslapd-ldapiuidnumbertype
、nsslapd-ldapigidnumbertype
、および nsslapd-ldapientrysearchbase
属性で定義されたパラメーターに基づいて、通常のユーザーを Directory Server ユーザーにマッピングします。
autobind は LDAPI が有効な場合にのみ有効にできます。つまり、nsslapd-ldapilisten
が on
になり、nsslapd-ldapifilepath
属性が LDAPI ソケットに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-ldapiautobind: off |
3.1.1.103. nsslapd-ldapientrysearchbase(LDAPI 認証エントリーの検索ベース)
自動バインドでは、システムユーザーの UID および GUID 番号に基づいて、システムユーザーを Directory Server ユーザーエントリーにマッピングできます。これには、UID 番号 (nsslapd-ldapiuidnumbertype
) および GUID 番号 (nsslapd-ldapigidnumbertype
) に使用する属性の Directory Server パラメーターを設定し、一致するユーザーエントリーの検索に使用する検索ベースを設定する必要があります。
nsslapd-ldapientrysearchbase
で、自動バインドに使用するユーザーエントリーを検索するサブツリーを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | DN |
デフォルト値 |
サーバーインスタンスの作成時に作成された接尾辞 (例: |
構文 | DN |
例 | nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om |
3.1.1.104. nsslapd-ldapifilepath(LDAPI ソケットのファイルの場所)
LDAPI は、TCP ではなく UNIX ソケットを介して LDAP サーバーに接続します。LDAPI を設定するには、UNIX ソケットを介して通信するようにサーバーを設定する必要があります。使用する UNIX ソケットは、nsslapd-ldapifilepath
属性に設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意のディレクトリーパス |
デフォルト値 | /var/run/dirsrv/slapd-example.socket |
構文 | 大文字と小文字を区別する文字列 |
例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
3.1.1.105. nsslapd-ldapigidnumbertype(System GUID 番号の属性マッピング)
自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。nsslapd-ldapigidnumbertype
属性は、システム GUID をユーザーエントリーにマッピングする Directory Server 属性を示します。
LDAPI が有効になっている場合 (nsslapd-ldapilisten
および nsslapd-ldapifilepath
)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind
)、および通常のユーザーに対して自動バインドマッピングが有効になっている場合 (nsslapd-ldapimaptoentries
) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | Directory Server の属性 |
デフォルト値 | gidNumber |
構文 | DirectoryString |
例 | nsslapd-ldapigidnumbertype: gidNumber |
3.1.1.106. nsslapd-ldapilisten(LDAPI の有効化)
nsslapd-ldapilisten
は、Directory Server への LDAPI 接続を有効にします。LDAPI を使用すると、ユーザーは標準の TCP ポートではなく UNIX ソケットを介して Directory Server に接続できるようになります。nsslapd-ldapilisten
を on
に設定して LDAPI を有効にすることに加えて、nsslapd-ldapifilepath
属性に LDAPI 用に設定された UNIX ソケットも必要です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-ldapilisten: on |
3.1.1.107. nsslapd-ldapimaprootdn (root ユーザー用の自動バインドマッピング)
自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。
root システムユーザー (UID が 0 のユーザー) は、nsslapd-ldapimaprootdn
属性で指定した Directory Server エントリーにマッピングされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の DN |
デフォルト値 | cn=Directory Manager |
構文 | DN |
例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
3.1.1.108. nsslapd-ldapimaptoentries(通常ユーザーの自動バインドマッピングの有効化)
自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。このマッピングは root ユーザーに対して自動化されますが、nsslapd-ldapimaptoentries
属性を介して通常のシステムユーザーに対して有効にする必要があります。この属性を on
に設定すると、通常のシステムユーザーを Directory Server エントリーにマッピングできます。この属性が有効になっていない場合は、root ユーザーのみが autobind を使用して Directory Server に対して認証し、他のすべてのユーザーは匿名で接続できます。
マッピング自体は、nsslapd-ldapiuidnumbertype
属性および nsslapd-ldapigidnumbertype
属性で設定され、Directory Server 属性をユーザーの UID および GUID の番号にマップします。
LDAPI が有効になっている場合 (nsslapd-ldapilisten
および nsslapd-ldapifilepath
)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind
) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-ldapimaptoentries: on |
3.1.1.109. nsslapd-ldapiuidnumbertype
自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。nsslapd-ldapiuidnumbertype
属性は、システム UID をユーザーエントリーにマップするために Directory Server 属性を示します。
LDAPI が有効になっている場合 (nsslapd-ldapilisten
および nsslapd-ldapifilepath
)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind
)、および通常のユーザーに対して自動バインドマッピングが有効になっている場合 (nsslapd-ldapimaptoentries
) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | Directory Server の属性 |
デフォルト値 | uidNumber |
構文 | DirectoryString |
例 | nsslapd-ldapiuidnumbertype: uidNumber |
3.1.1.110. nsslapd-ldifdir
Directory Server は、db2ldif
または db2ldif.pl
を使用する場合に、このパラメーターで設定したディレクトリーに LDAP データ交換形式 (LDIF) 形式のファイルをエクスポートします。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | Directory Server ユーザーが書き込み可能なディレクトリー |
デフォルト値 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
構文 | DirectoryString |
例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
3.1.1.111. nsslapd-listen-backlog-size
この属性は、ソケット接続のバックログの最大数を設定します。listen サービスは、受信接続を受け付けるソケット数を設定します。Backlog 設定は、接続を拒否する前にソケット (sockfd) のキューを拡張する最大期間を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 最大 64 ビットの整数値 (9223372036854775807) |
デフォルト値 | 128 |
構文 | 整数 |
例 | nsslapd-listen-backlog-size: 128 |
3.1.1.112. nsslapd-listenhost(IP アドレスに追加)
この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェイスのリッスンを制限することができます)。1 つのホップに関連する複数の IP アドレスが存在する可能性があります。これらの IP アドレスは、IPv4 と IPv6 の両方の組み合わせになります。このパラメーターを使用して、Directory Server インスタンスを単一の IP インターフェイスに制限することができます。
ホスト名が nsslapd-listenhost
値として指定される場合、Directory Server はホスト名に関連付けられたすべてのインターフェイスについて要求に応答します。単一 IP インターフェイス (IPv4 または IPv6) が nsslapd-listenhost
の値として指定される場合、Directory Server は、その特定のインターフェイスに送信された要求のみに応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | ローカルホスト名、IPv4 アドレスまたは IPv6 アドレス |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-listenhost: ldap.example.com |
3.1.1.113. nsslapd-localhost(ローカルホスト)
この属性は、Directory Server を実行するホストマシンを指定します。この属性は、MMR プロトコルの一部を設定する参照 URL を作成します。フェイルオーバーノードのある高可用性設定では、その参照はローカルホスト名ではなく、クラスターの仮想名を参照する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 完全修飾ホスト名。 |
デフォルト値 | インストールされたマシンのホスト名。 |
構文 | DirectoryString |
例 | nsslapd-localhost: phonebook.example.com |
3.1.1.114. nsslapd-localuser(ローカルユーザー)
この属性は、Directory Server を実行するユーザーを設定します。ユーザーを実行するグループは、ユーザーのプライマリーグループを調べてこの属性から派生します。ユーザーの変更により、このインスタンス向けのインスタンス固有のファイルおよびディレクトリーはすべて chown
などのツールを使用して、新規ユーザーによって所有されるように変更する必要があります。
サーバーインスタンスの設定時に nsslapd-localuser
の値が最初に設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なユーザー |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-localuser: dirsrv |
3.1.1.115. nsslapd-lockdir(サーバーロックファイルディレクトリー)
これは、サーバーがロックファイルに使用するディレクトリーへの完全パスです。デフォルト値は /var/lock/dirsrv/slapd-instance
です。この値の変更は、サーバーが再起動するまで反映されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | サーバー ID への書き込みアクセスのあるサーバーユーザー ID が所有するディレクトリーへの絶対パス |
デフォルト値 | /var/lock/dirsrv/slapd-instance |
構文 | DirectoryString |
例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-instance |
3.1.1.116. nsslapd-localssf
nsslapd-localssf
パラメーターは、LDAPI 接続のセキュリティー強度係数 (SSF) を設定します。Directory Server は、nsslapd-localssf
に設定した値が nsslapd-minssf
パラメーターに設定した値と同じか、それ以上の場合にのみ LDAPI 接続を許可します。そのため、LDAPI の接続は nsslapd-minssf
の最小 SSF セットに対応します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
|